Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare TAMECAT Bakdør

TAMECAT Bakdør

Med Mezo i Skadelig programvare, Advanced Persistent Threat (APT), Bakdører
Oversett til:

En bølge av spionasjeaktivitet knyttet til den iransk-statlige gruppen APT42 har dukket opp, og analytikere observerer en fokusert innsats mot enkeltpersoner og organisasjoner knyttet til interessene til Den islamske revolusjonsgarden (IRGC). Denne operasjonen, som ble oppdaget tidlig i september 2025 og tildelt kodenavnet SpearSpecter, demonstrerer en sofistikert blanding av sosial manipulering og skreddersydd utrulling av skadelig programvare rettet mot etterretningsinnsamling.

En utvidet målrettingsstrategi

Operatørene bak denne kampanjen har rettet seg direkte mot høytstående myndighetspersoner og forsvarsrepresentanter, og brukt svært personlige tilnærminger for å engasjere dem. Invitasjoner til prominente konferanser og tilbud om innflytelsesrike møter er vanlige lokkemidler. Et definerende kjennetegn ved denne aktiviteten er utvidelsen av offerbasen til å inkludere familiemedlemmer, økende press og utvidelse av angrepsflaten rundt primære mål.

Opprinnelse og utvikling av APT42

APT42 ble offentliggjort sent i 2022, kort tid etter at forskere koblet den til flere IRGC-tilknyttede grupper. Disse inkluderer blant annet kjente klynger som APT35, Charming Kitten, ITG18, Mint Sandstorm og TA453. Gruppens operative varemerke er dens evne til å opprettholde langvarige sosial manipuleringsoperasjoner, noen ganger i flere uker, samtidig som den utgir seg for å være pålitelige kontakter for å oppnå troverdighet før den leverer skadelige nyttelaster eller ondsinnede lenker.

Tidligere i juni 2025 avdekket spesialister nok en større kampanje rettet mot israelske cybersikkerhets- og teknologieksperter. I dette tilfellet utga angriperne seg for å være ledere og forskere i både e-post- og WhatsApp-kommunikasjon. Selv om aktiviteten i juni og SpearSpecter er relatert, stammer den fra to forskjellige interne klynger av APT42 – klynge B fokuserte på legitimasjonstyveri, mens klynge D sentrerer seg om inntrenging drevet av skadevare.

Personlige bedragtaktikker

Kjernen i SpearSpecter ligger en fleksibel angrepsmetodikk som er utformet rundt målets verdi og operatørens mål. Noen ofre blir omdirigert til forfalskede møteportaler som er utviklet for å samle legitimasjon. Andre står overfor en mer påtrengende tilnærming som leverer en vedvarende PowerShell-bakdør kalt TAMECAT, et verktøy som gjentatte ganger har blitt brukt av gruppen de siste årene.

Vanlige angrepskjeder starter med etterligning på WhatsApp, der motstanderen videresender en ondsinnet lenke som hevder å være et nødvendig dokument for et kommende oppdrag. Ved å klikke på den utløses en omdirigeringssekvens som resulterer i levering av en WebDAV-basert LNK-fil forkledd som en PDF, og utnytter search-ms: protokollbehandleren til å lure offeret.

TAMECAT-bakdøren: Modulær, vedvarende og adaptiv

Når den er kjørt, kobler LNK-filen seg til et angriperdrevet Cloudflare Workers-underdomene for å hente et batchskript som aktiverer TAMECAT. Dette PowerShell-baserte rammeverket bruker modulære komponenter for å støtte eksfiltrering, overvåking og fjernadministrasjon. Kommando-og-kontroll-kanalene (C2) spenner over HTTPS, Discord og Telegram, noe som sikrer robusthet selv når én rute er stengt ned.

For Telegram-baserte operasjoner henter og kjører TAMECAT PowerShell-kode som videresendes av en bot under angripernes kontroll. Discord-baserte C2 bruker en webhook som sender systemdetaljer og mottar kommandoer fra en forhåndsdefinert kanal. Analyse antyder at kommandoer kan tilpasses per infisert vert, noe som muliggjør koordinert aktivitet mot flere mål via en delt infrastruktur.

Evner som støtter dyp spionasje

TAMECAT tilbyr et bredt utvalg av etterretningsinnsamlingsfunksjoner. Blant dem:

  • Datainnsamling og -utvinning
  • Høsting av filer med spesifiserte filtyper
  • Uttrekk av data fra Google Chrome-, Microsoft Edge- og Outlook-postbokser
  • Utfører kontinuerlig skjermbildeopptak hvert 15. sekund
  • Eksfiltrering av innsamlet informasjon via HTTPS eller FTP
  • Stealth- og unnvikelsestiltak
  • Kryptering av telemetri og nyttelaster
  • Tilsløring av PowerShell-kildekoden
  • Bruk av binærfiler fra «living-off-the-land» for å blande ondsinnede handlinger med normal systematferd
  • Kjører primært i minnet for å minimere diskartefakter

En robust og kamuflert infrastruktur

Infrastrukturen som støtter SpearSpecter blander angriperkontrollerte systemer med legitime skytjenester for å skjule ondsinnet aktivitet. Denne hybride tilnærmingen muliggjør sømløs initial kompromittering, holdbar C2-kommunikasjon og skjult datautvinning. Den operative designen gjenspeiler en trusselaktørs intensjon om langsiktig infiltrasjon av nettverk med høy verdi, samtidig som minimal eksponering opprettholdes.

Konklusjon

SpearSpecter-kampanjen understreker APT42s kontinuerlige forbedring av spionasjeoperasjoner, og kombinerer langsiktig sosial manipulering, adaptiv skadelig programvare og robust infrastruktur for å fremme etterretningsmål. Dens vedvarende og svært målrettede natur setter tjenestemenn, forsvarspersonell og tilknyttede individer i fortsatt risiko, noe som forsterker behovet for økt årvåkenhet og sterk sikkerhetshygiene på tvers av alle kommunikasjonskanaler.

 

Trender

Mest sett

Laster inn...